LastPass Saldırıya Uğradı

[Bthd]

Çoğu kişinin güvenli şifreler oluşturabilmek için kullandığı LastPass bir saldırıya uğradığını ve şifrelenmiş verilerinin çalındığını duyurdu. Saldırganın binlerce kullanıcının kullandığı paralolara erişebilmesi için sadece kullanıcıların master şifreleri engel oluştuyuor şu anda. Eğer bu platformu şifre yaratmak için kullandıysanız mutlaka bir an önce şifrelerinizi gözden geçirerek değiştirin.

Hiç bir şekilde önerilmemesine rağmen seed veya private key gibi varlıklara doğrudan erişim sağlanmasına sebep olabilecek verilerini de LastPass üzerinde saklamakta ısrarcı kullanıcılar vardı. Eğer bu kişilerden biriyseniz bir an önce varlıklarınızı yeni cüzdanlar oluşturarak temiz adreslere taşıyın. Eğer brute force ile master şifrenizi de bulabilirlerse tüm şifrelerinizi ve varlıklarınızı kaybedebilirsiniz.

Tüm veriler ile kendisi uğraşamayacağı için yakında darkweb'de satışa çıkarması ve şifreleri kırmayı deneyecek kişi sayısının artacağı da neredeyse kesin.

The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data.

[mandown]

Çok daha önce benzer bir saldırı olduğunu hatırlıyor gibiyim. Benim bundan ziyade authy yazılımının güvenliği canımı sıkıyor neredeyse kripto ile ilgili olup kullanmayan yok. Hoş onun içinde mail ve telefonda hacklenmesi gerekiyor.

[gospodin]

Çok daha önce benzer bir saldırı olduğunu hatırlıyor gibiyim. Benim bundan ziyade authy yazılımının güvenliği canımı sıkıyor neredeyse kripto ile ilgili olup kullanmayan yok. Hoş onun içinde mail ve telefonda hacklenmesi gerekiyor.

bir ara google authenticator kırılıyor falan hikayeleri vardı. abi her zaman yazar her sistem kırılmak için vardır, yani birileri elbet kırmak için uğraşacak. bugün kırılmamış olması gelecekte de kırılmayacak anlamına gelmiyor.

lastpass içinse ilk anda dediğim gibi bu herifler tüm parolaları olduğu gibi bulut sisteminde excel'de tutuyorlarsa efsane olur. facebook öyle yapıyordu eskinden:) şaşırmam.

[bobita]

Tüm varlığı demek olan şifrelerini, anahtar kelimelerini vb. oluşturmak ya da saklamak için üçüncü parti kişi veya uygulamalara güvenen insanlara gerçekten akıl sır erdiremiyorum, bu nasıl kolaycı bir zihniyettir ya? Arkadaş alışveriş sitesi şifresi değil ki bu, Bthd haklı, basitleri patlatıp zorları satacaklar, ve kurbanların güvenliği hırsızların beceri seviyesine kalmış olacak.

[Bthd]

Çok daha önce benzer bir saldırı olduğunu hatırlıyor gibiyim. Benim bundan ziyade authy yazılımının güvenliği canımı sıkıyor neredeyse kripto ile ilgili olup kullanmayan yok. Hoş onun içinde mail ve telefonda hacklenmesi gerekiyor.

Google 2FA yada Authy gibi merkezi yazılımların güvenliğinden şüphe duyuyorsanız Aegis, AndOTP yada FreeOTP gibi açık kaynak kodlu alternatifler var. Onlarda bulut ortamlarına depolama yok diye biliyorum. Genelde sorun hangi platformların destekleyip desteklemediği oluyor. Bir diğer alternatif daha önce paylaşılmıştı Yubikey gibi donanım cihazları. Onların da kendilerine özgü negatif yönleri var.

[Pierre 2]

Ben de hiç lastpass kullanmadım ama şifrelerim genel olarak Authy e bağlı endişe etmiyor değilim. Authy batarsa ne bok yeriz diye kara kara düşünüyorum açıkçası. Zamanında Google authenticator ın yedekleme restore etme opsiyonu yoktu diye hatırlıyorum o yüzden Authy çok daha mantıklıydı.

Tüm varlığı demek olan şifrelerini, anahtar kelimelerini vb. oluşturmak ya da saklamak için üçüncü parti kişi veya uygulamalara güvenen insanlara gerçekten akıl sır erdiremiyorum, bu nasıl kolaycı bir zihniyettir ya? Arkadaş alışveriş sitesi şifresi değil ki bu, Bthd haklı, basitleri patlatıp zorları satacaklar, ve kurbanların güvenliği hırsızların beceri seviyesine kalmış olacak.

Hocam iki aşamalı doğrulama kullanmasan daha riskli. Sadece maili kullansan bu sefer mail çalınabiliyor. En iyi seçenek lastpass gibi uygulamalar oluyor bazen maalesef. Yedek şifreleri buralarda tutuyoruz. En azından şifrelerimiz de şifreleniyormuş diye rahat uyumaya çalışacağız.

[bobita]

Ben de hiç lastpass kullanmadım ama şifrelerim genel olarak Authy e bağlı endişe etmiyor değilim. Authy batarsa ne bok yeriz diye kara kara düşünüyorum açıkçası. Zamanında Google authenticator ın yedekleme restore etme opsiyonu yoktu diye hatırlıyorum o yüzden Authy çok daha mantıklıydı.

Tüm varlığı demek olan şifrelerini, anahtar kelimelerini vb. oluşturmak ya da saklamak için üçüncü parti kişi veya uygulamalara güvenen insanlara gerçekten akıl sır erdiremiyorum, bu nasıl kolaycı bir zihniyettir ya? Arkadaş alışveriş sitesi şifresi değil ki bu, Bthd haklı, basitleri patlatıp zorları satacaklar, ve kurbanların güvenliği hırsızların beceri seviyesine kalmış olacak.

Hocam iki aşamalı doğrulama kullanmasan daha riskli. Sadece maili kullansan bu sefer mail çalınabiliyor. En iyi seçenek lastpass gibi uygulamalar oluyor bazen maalesef. Yedek şifreleri buralarda tutuyoruz. En azından şifrelerimiz de şifreleniyormuş diye rahat uyumaya çalışacağız.

Authy ben de kullanıyorum ve aynı endişeleri taşıyorum, zamanında elimde Google karekodu ve anahtarı olduğu halde geri dönememiştim (bir ico bağlantısı idi), yeniden kurduğumda sistem hiçbir şekilde kabul etmemişti ama Authy ile hiç öyle bir sorun yaşamadım, telefon değiştirdim vb., sıfır hatayla hepsi geri yüklenip çalıştı. Şu an Google ne durumda bilmiyorum, gerçi hiç emin olmamakla birlikte Authy'nin de Google altyapısını kullandığını duymuştum, muhtemelen o da artık düzgün bir şekilde geri döndürülüyordur.

[Bthd]

Ben de hiç lastpass kullanmadım ama şifrelerim genel olarak Authy e bağlı endişe etmiyor değilim. Authy batarsa ne bok yeriz diye kara kara düşünüyorum açıkçası. Zamanında Google authenticator ın yedekleme restore etme opsiyonu yoktu diye hatırlıyorum o yüzden Authy çok daha mantıklıydı.

Tüm varlığı demek olan şifrelerini, anahtar kelimelerini vb. oluşturmak ya da saklamak için üçüncü parti kişi veya uygulamalara güvenen insanlara gerçekten akıl sır erdiremiyorum, bu nasıl kolaycı bir zihniyettir ya? Arkadaş alışveriş sitesi şifresi değil ki bu, Bthd haklı, basitleri patlatıp zorları satacaklar, ve kurbanların güvenliği hırsızların beceri seviyesine kalmış olacak.

Hocam iki aşamalı doğrulama kullanmasan daha riskli. Sadece maili kullansan bu sefer mail çalınabiliyor. En iyi seçenek lastpass gibi uygulamalar oluyor bazen maalesef. Yedek şifreleri buralarda tutuyoruz. En azından şifrelerimiz de şifreleniyormuş diye rahat uyumaya çalışacağız.

Google 2FA için manuel yedekleme yapılıyordu. Daha önceden kullandığınız tüm kodların yada ekran görüntüsü alınmış karekodların yedeklerini saklamak gerekiyordu. Şu anda bu özelliğe ek olarak hesapları dışa aktar - hesapları içe aktar seçenekleri eklendi. Manuel yedekleme almak ve bunları offline bir ortamda şifreleyip saklamak yedeklerin bir bulut ortamına yüklenmesinden yada uygulamanın kendisi tarafından bir yerlerde tutulmasından her zaman daha güvenilir bir yöntem. Online ortamda tutulan veriler her zaman çeşitli ihlallere karşı savunmasız durumda kalıyor.

[bobita]

Ben de hiç lastpass kullanmadım ama şifrelerim genel olarak Authy e bağlı endişe etmiyor değilim. Authy batarsa ne bok yeriz diye kara kara düşünüyorum açıkçası. Zamanında Google authenticator ın yedekleme restore etme opsiyonu yoktu diye hatırlıyorum o yüzden Authy çok daha mantıklıydı.

Tüm varlığı demek olan şifrelerini, anahtar kelimelerini vb. oluşturmak ya da saklamak için üçüncü parti kişi veya uygulamalara güvenen insanlara gerçekten akıl sır erdiremiyorum, bu nasıl kolaycı bir zihniyettir ya? Arkadaş alışveriş sitesi şifresi değil ki bu, Bthd haklı, basitleri patlatıp zorları satacaklar, ve kurbanların güvenliği hırsızların beceri seviyesine kalmış olacak.

Hocam iki aşamalı doğrulama kullanmasan daha riskli. Sadece maili kullansan bu sefer mail çalınabiliyor. En iyi seçenek lastpass gibi uygulamalar oluyor bazen maalesef. Yedek şifreleri buralarda tutuyoruz. En azından şifrelerimiz de şifreleniyormuş diye rahat uyumaya çalışacağız.

Google 2FA için manuel yedekleme yapılıyordu. Daha önceden kullandığınız tüm kodların yada ekran görüntüsü alınmış karekodların yedeklerini saklamak gerekiyordu. Şu anda bu özelliğe ek olarak hesapları dışa aktar - hesapları içe aktar seçenekleri eklendi. Manuel yedekleme almak ve bunları offline bir ortamda şifreleyip saklamak yedeklerin bir bulut ortamına yüklenmesinden yada uygulamanın kendisi tarafından bir yerlerde tutulmasından her zaman daha güvenilir bir yöntem. Online ortamda tutulan veriler her zaman çeşitli ihlallere karşı savunmasız durumda kalıyor.

İşte o Google için yaptığım manuel yedeklemede hem kod, hem de karekod olmasına ve onları kullanarak geri yüklememe rağmen borsa yeni 2FA kodlarımı kabul etmedi ve yanlış kod uyarısı verdi (3-4 yıl önceki bir olay, şimdi hangi borsa olduğunu hatırlamıyorum ama duyulmamış, dandik bir borsa değildi), bir dünya işlemle 2FA iptal edip yeniden Authy ile oluşturdum ve asla öyle bir sorun yaşamadım.

[flipme]

Oldum olası bu uygulamalardan rahatsız oldum. Bir şifre ile bütün hesaplara giriş yapmak beni her zaman tedirgin eder. Bütün karmaşık şifrelerimi hatırlamak benim için daha az zahmetli bir iş olur. LastPass'ı kullanan varsa hemen önemli borsalardaki şifrelerini değiştirmeli. Bir daha da bu tür uygulamaları kullanmamalı. Borsa şifrelerini bu tür uygulamalara kaydedenler gibi kripto para cüzdanlarının anahtar kelimelerini ve private keylerini de bu tür uygulamalara kaydedenler var. Parasını kaybedenler genelde onlar oluyor çünkü borsalar farklı IP girişine tespit ettiklerinde mailden onay istiyor. Yine mail hizmeti sunan şirketler farklı IP'den giriş tespit edince güvenlik sorularını aktif ediyor. En önemlisi 2FA var. LastPass'tan şifreleri elde etseler bile onu aşamazlar.

[Bthd]

İşte o Google için yaptığım manuel yedeklemede hem kod, hem de karekod olmasına ve onları kullanarak geri yüklememe rağmen borsa yeni 2FA kodlarımı kabul etmedi ve yanlış kod uyarısı verdi (3-4 yıl önceki bir olay, şimdi hangi borsa olduğunu hatırlamıyorum ama duyulmamış, dandik bir borsa değildi), bir dünya işlemle 2FA iptal edip yeniden Authy ile oluşturdum ve asla öyle bir sorun yaşamadım.

Bahsettiğiniz olay daha çok uygulama yada sitenin kendisi ile de alakalı olabilir. Normal durumlarda 2FA kodlarımın bir kopyasını internete artık hiç bağlamadığım eski cep telefonumda tutuyorum. İçerisinde hat yok sadece 2FA yedekleme için kullanıyorum. Google hesap aktarma seçeneğini getirmeden önce bahsettiğiniz problemi yaşadığınızda bir çözüm yolu yoktu. Benzer problemi Cryptopia varlık kurtarma 2FA kodumla yaşadım. 2FA kodu cihazımda durmasına rağmen giriş yapamayıp sıfırlamak zorunda kaldım yani sadece sıfırlanıp yedekle geri getirme durumunda yaşanmıyor.

Authy uygulamasını google 2FA taşıma hizmetini vermeden önce bir süre kullanmıştım. Google 2FA'yı iki cihazda kullanmak mümkün olmuyordu. Bununla ilgili çok önceden forumda bir başlık açmıştım şimdi bulmakla uğraşmak istemedim. Authy güzel uygulama, gerçekte gönlümde yatan açık kaynak kodlu uygulamaları kullanmak ama hepsinin bir şekilde isteklerimi karşılamadıkları noktalar var.

[Cacabey_40]

Oldum olası bu uygulamalardan rahatsız oldum. Bir şifre ile bütün hesaplara giriş yapmak beni her zaman tedirgin eder. Bütün karmaşık şifrelerimi hatırlamak benim için daha az zahmetli bir iş olur. LastPass'ı kullanan varsa hemen önemli borsalardaki şifrelerini değiştirmeli. Bir daha da bu tür uygulamaları kullanmamalı. Borsa şifrelerini bu tür uygulamalara kaydedenler gibi kripto para cüzdanlarının anahtar kelimelerini ve private keylerini de bu tür uygulamalara kaydedenler var. Parasını kaybedenler genelde onlar oluyor çünkü borsalar farklı IP girişine tespit ettiklerinde mailden onay istiyor. Yine mail hizmeti sunan şirketler farklı IP'den giriş tespit edince güvenlik sorularını aktif ediyor. En önemlisi 2FA var. LastPass'tan şifreleri elde etseler bile onu aşamazlar.

Parolalarımı hiçbir uygulamaya güvenmem. Hepsini random oluştururum. Tarayıcıda tuttmam.
Örnek parola: lMaD7#$56*FJ_SKlf5q!ds%+3Ab?
Bu parolayı internete bağlı bir cihazda tutuyorum.
Yalnız parolaya da fazladan karakter eklerim. Kalın harfle yazdığım yer paroladan bağımsız olan kısmı.
Bütün parolalarım bu şekilde. Edevlet, eposta, borsa ve önemli olan üyeliklerimin hepsinde 2FA ekli.

[bobita]

İşte o Google için yaptığım manuel yedeklemede hem kod, hem de karekod olmasına ve onları kullanarak geri yüklememe rağmen borsa yeni 2FA kodlarımı kabul etmedi ve yanlış kod uyarısı verdi (3-4 yıl önceki bir olay, şimdi hangi borsa olduğunu hatırlamıyorum ama duyulmamış, dandik bir borsa değildi), bir dünya işlemle 2FA iptal edip yeniden Authy ile oluşturdum ve asla öyle bir sorun yaşamadım.

Bahsettiğiniz olay daha çok uygulama yada sitenin kendisi ile de alakalı olabilir. Normal durumlarda 2FA kodlarımın bir kopyasını internete artık hiç bağlamadığım eski cep telefonumda tutuyorum. İçerisinde hat yok sadece 2FA yedekleme için kullanıyorum. Google hesap aktarma seçeneğini getirmeden önce bahsettiğiniz problemi yaşadığınızda bir çözüm yolu yoktu. Benzer problemi Cryptopia varlık kurtarma 2FA kodumla yaşadım. 2FA kodu cihazımda durmasına rağmen giriş yapamayıp sıfırlamak zorunda kaldım yani sadece sıfırlanıp yedekle geri getirme durumunda yaşanmıyor.

Authy uygulamasını google 2FA taşıma hizmetini vermeden önce bir süre kullanmıştım. Google 2FA'yı iki cihazda kullanmak mümkün olmuyordu. Bununla ilgili çok önceden forumda bir başlık açmıştım şimdi bulmakla uğraşmak istemedim. Authy güzel uygulama, gerçekte gönlümde yatan açık kaynak kodlu uygulamaları kullanmak ama hepsinin bir şekilde isteklerimi karşılamadıkları noktalar var.

Yukarıda tereddütlerimi belirtmekle beraber ne yalan söyleyeyim Authy benim için sadece mecburi tercih değil, beğenerek kullanıyorum, şimdiye kadar da ne güvenlik anlamında, ne de kullanım, fonksiyon, bug vb anlamında hiçbir sorun yaşamadım. Arada unutmayı engellemek için ana şifreyi sormaları ama istersen bu soruyu atlama tercihinin de olması bile takdir ettiğim bir özellik, hatta akıllıca çünkü zorunlu tutmadığı için şunu girivereyim diye kendiliğinden yapıyorsun.